Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MASTER Conseil et Audit des Organisations Module : Conseil et Audit des système

MASTER Conseil et Audit des Organisations Module : Conseil et Audit des systèmes d’informations Sujet : Audit informatique Préparé par : ITAHRIOUAN SAAD OUALHAJ MOHAMMED MARINI IMAD TALEA HAMZA Encadré par : M.KHALID CHAFIK Année Universitaire : 2019 – 2020 I. Introduction : Le parc informatique est un atout au succès des activités d’une entreprise. Il faut qu’il soit constamment opérationnel. Mais cette infrastructure complexe qui réunit des équipements, des logiciels et de nombreux matériels connectés entre eux est souvent sujette à divers problèmes techniques. Pour mieux faire face à ces soucis et surtout pour les anticiper, l’établissement d’un audit informatique est recommandé. II. Définition de l’audit informatique - L’audit informatique (aussi appelé Audit technologique) consiste à une intervention réalisée par une personne indépendante et extérieure au service audité, qui permet d’analyser tout ou une partie d’une organisation informatique, d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations d’amélioration. Autrement dit, L'audit informatique peut aussi être défini l'évaluation des risques des activités informatiques, dans le but d'apporter une diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'information. - Il permet de s’assurer que les activités informatiques d’une entreprise se déroulent correctement quant aux règles et aux usages concernant les bonnes pratiques. - L'audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques d'une entreprise ou d'une administration. III. Les types d’audit informatique Audit des données Audit de la sécurité des SI Audit et cloud computing Audit de la DSI Audit des projets informatiques - L’audit de données : est une méthode permettant de faire une analyse complète des informations maintenues dans une ou plusieurs bases de données. L’objectif d’une telle analyse est d’obtenir une vision claire de la qualité des données présentes en bases. - Un audit de sécurité informatique : Un audit de sécurité informatique est une démarche qui permet de connaître le niveau de sécurité global de son système d’information - Audit de la DSI : Une méthodologie rigoureuse et un cadre d’analyse adapté au contexte ont permis un audit objectif de l’efficacité de la fonction informatique en place et de sa qualité de service. - L'audit des projets informatiques : L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ait de fortes chances d'arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. IV. Définition de système informatique au sien de l’E/se : • Le système informatique est le sous-système du système d’information, il est constitué de deux entités: le matériel et le logiciel. • L’objectif d’un système informatique est d’automatiser le traitement de l’information par des systèmes embarqués, des ordinateurs, des robots, des automates, etc. V. La fonction informatique au sien de l’E/se : Le schéma ci-dessous illustre l’importance de la fonction informatique dans la structure organisationnelle d’une grande entreprise disposant d’un système informatique sophistiqué. La direction informatique est attachée à la direction générale exactement comme les autres directions, ceci implique que les dirigeants s’appuient sur cette fonction afin de mieux réussir leurs missions. Ceci peut ne pas être le cas pour d’autres entreprises de petite taille, mais avec la complexité de l’environnement de l’entreprise la fonction informatique requiert une attention particulière, une prise de connaissance de l’informatique dans l’entreprise devient incontournable. La maturité de l’organisation informatique est un aspect organisationnel, fonctionnel et technologique fortement pris en considération par les auditeurs et les cabinets de conseil ainsi que par les experts comptables. La dimension organisationnelle de cette maturité dépend de la relation qui existe entre l’informatique et ses utilisateurs, il s’agit d’un «contrat de services» d’une part, et de la reconnaissance du rôle des directions des systèmes d’informatiques d’autre part. La dimension fonctionnelle et technologique représente le degré d’intégration et d’ouverture des systèmes d’information, ceci dépend de l’utilisation des nouvelles technologies par les partenaires. Figure 1 : Les principales fonctions d’une direction informatique VI. Les objectifs d’audit de la fonction informatique  Vérifier le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et notamment l'existence d'un comité de pilotage de l'informatique,  Contrôler la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,  Contrôler la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices concernant les traitements, la maintenance, la sécurité, les investissements, les développements. VII. La Démarche d’audit de la fonction informatique : Une mission d’audit informatique se prépare. Il est pour cela conseillé d’effectuer au préalable un pré- diagnostic afin de préciser les questions que cet audit va traiter. Cela se traduit par l’établissement d’une lettre de mission détaillant les principaux points à auditer. Pour mener à bien l’audit informatique il est recommandé de suivre cinq étapes suivantes : 1) l’établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d’audit et permet de mandater l’auditeur. Il sert à identifier la liste des questions que se pose le demandeur d’audit. Très souvent l’auditeur participe à sa rédaction. 2) la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d’audit ou une proposition commerciale. Ce document est rédigé par l’auditeur et il est soumis à la validation du demandeur d’audit, 3) la collecte des faits, la réalisation de tests, … Dans la plupart des audits c’est une partie importante du travail effectué par les auditeurs. Il est important d’arriver à dégager un certain nombre de faits indiscutables, 4) les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cependant, souvent ceux-ci font plutôt part de leurs opinions plus que d’apporter les faits recherchés, 5) la rédaction du rapport d’audit est un long travail qui permet de mettre en avant des constatations faites par l’auditeur et les recommandations qu’il propose, Il peut arriver qu’à la suite de la mission d’audit il soit demandé à l’auditeur d’établir le plan d’action et éventuellement de mettre en place un suivi des recommandations. VIII. Les référentiels d'audit informatique : Il existe différents référentiels comme :  CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques. un Framework pour le développement, l’implémentation, la supervision et l’amélioration des pratiques de gouvernance et d’administration des systèmes d’information. De par son utilisation, COBIT permet aux SI :  de s’aligner sur le métier de l’entreprise  d’apporter un plus aux métiers  de gérer au mieux ses ressources  de gérer les risques de façon efficace  Norme ISA 401 : -Norme ISA 401 traite de l’audit réalisé dans un environnement informatique. -L’absence ou l’insuffisance de séparation des fonctions -L’absence de documentation des applications et aux erreurs dans le développement -La maintenance des applications -La possibilité d’accès non autorisés induits par l’utilisation d’un ordinateur la directive 1001 : Préconise la mise en place d’un certain nombre de mesures de sécurité telles que : - La protection de l’ordinateur et des supports de stockage contre les risques de vol ou d’accès non autorisés - La protection des données et programmes contre les risques d’altération ou d’utilisation de logiciels sans licence - La continuité des opérations. La directive 1002 vise : - A assurer l’intégrité des informations produite et l’absence d’infection de l’entreprise par des virus. - La mise en place de mots de passes pour l’accès aux logiciels d’application. - La mise en place de verrouillages du terminal en cas d’inactivité au-delà d’un certain temps. - La tenue d’un journal de suivi des transactions. - Et un pare-feu au cas où l’entreprise est connectée à internet.  Risk IT : RISK IT fait partie des risques informatiques, en particulier le risque associé à : -L'utilisation, -La propriété, -L'exploitation, -La participation, -L'influence et L'adoption de l'informatique au sein d'une entreprise. Il s'agit d’une démarche liée à l'informatique susceptible d'avoir un impact sur l'entreprise. Cela peut se produire à la fois avec une fréquence et une amplitude incertaine, et cela crée des défis pour atteindre les buts et objectifs stratégiques. RISK IT dans l’entreprise est une composante essentielle de l'administration responsable du système d’informations. En raison de l'importance de l'informatique pour l'activité globale, le risque informatique doit être traité comme les autres risques clés dans l’entreprise. Les cadres informatiques des risques expliquent les risques informatiques et permet aux utilisateurs de :  Intégrer la gestion des risques informatiques au sein de l’entreprise.  Comprendre comment gérer ces risques informatiques et donner des recommandations. IX. Etude de cas :  La société Siban a fait appel à un cabinet d’audit informatique dont l’objectif de vérifier et d’auditer la fonction informatique au sien de son organisation, durant la première étape de la Compréhension de l’environnement informatique, l’auditeur informatique a dégagé les constats suivants :  M. othman le directeur informatique de la société Siban, depuis 5 ans a quitté la société uploads/Science et Technologie/ jtytykyti.pdf